m o c . 5 IoT 机顶盒恶意软件应急处置手册 ■ 文档编号 ■ 版本编号 b u ■ 密级 v1.0 ■ 日期 h t i g 2017.10.13 © 2017 绿盟科技 IoT 机顶盒恶意软件应急处置手册 目录 一. 事件背景 ............................................................................................................................................... 1 二. 准备工作 ............................................................................................................................................... 1 2.1 相关工具 ........................................................................................................................................... 1 三. 风险检测 ............................................................................................................................................... 1 3.1 基于网络检测 ................................................................................................................................... 1 3.1.1 检测向 23 端口的发包频率 ...................................................................................................... 2 m o c . 5 3.1.2 检查 CC 服务器 ......................................................................................................................... 3 四. 应急处置指南 ....................................................................................................................................... 3 4.1 网络层防护 ....................................................................................................................................... 3 4.1.1 IPS 防护 ....................................................................................................................................... 3 4.1.2 iptables 访问控制 ....................................................................................................................... 8 b u 4.1.3 DDoS 防护。 ............................................................................................................................... 8 4.2 终端防护 ........................................................................................................................................... 8 4.2.1 关闭 telnet 服务 ........................................................................................................................ 8 h t i g 4.2.2 修改 telnet 默认端口号 ............................................................................................................ 8 4.2.3 修改初始口令............................................................................................................................ 9 4.2.4 权限设置.................................................................................................................................... 9 4.2.5 固件备份.................................................................................................................................... 9 4.3 持续监测 ........................................................................................................................................... 9 4.3.1 主动监测.................................................................................................................................... 9 4.3.2 被动持续监测............................................................................................................................ 9 五. 样本行为分析 ..................................................................................................................................... 10 5.1 本地行为 ......................................................................................................................................... 10 5.2 网络行为 ......................................................................................................................................... 10 附录 A FAQ ............................................................................................................................................ 10 © 2017 绿盟科技 -1- 密级:商业机密 IoT 机顶盒恶意软件应急处置手册 一. 事件背景 绿盟科技 DDoS 态势感知平台监控到某客户的网络带宽流量存在异常情况,经分析确认 为对外发起 DDOS 攻击导致,攻击类型多样,包括 TCP Flood、HTTP Flood、DNS Flood 等。通过对攻击源 IP 进行溯源,发现攻击来自普通用户终端设备,包括数字电视机顶盒及 EOC 终端设备,并涉及多家设备开发厂商。 m o c . 5 二. 准备工作 b u 2.1 相关工具 为判断网络是否受到 IoT 机顶盒恶意软件影响,且有针对性防护,绿盟科技提供检测及防 ti h 护方案,下表为相关检测和防护工具。 边界防护类 防御类 检测类 g 绿盟网络入侵防护/检测系统(IPS/IDS) 绿盟抗拒绝服务系统(ADS) Wireshark 三. 风险检测 针对恶意软件在主机层面和网络层面的特征,可通过网络进行检测,来确定在当前网络 环境中是否存在威胁。 3.1 基于网络检测 若广电网络中存在被感染设备,则设备会向大量外网 ip 的 23 端口发送 tcp 请求,同时 会与 CC 服务器 185.47.62.133:8716 建立连接。因此,可在广电网络中对流量抓取和分析, 判断是否受到恶意软件影响。 © 2017 绿盟科技 -1- 密级:商业机密 IoT 机顶盒恶意软件应急处置手册 3.1.1 检测向 23 端口的发包频率 恶意软件具有全网扫描 telnet 弱口令的功能,如果对网络进行抓包分析,可以看到在网 络通信数据流中充斥着大

pdf文档 绿盟 IoT机顶盒恶意软件应急处置手册

文档预览
中文文档 13 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共13页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
绿盟 IoT机顶盒恶意软件应急处置手册 第 1 页 绿盟 IoT机顶盒恶意软件应急处置手册 第 2 页 绿盟 IoT机顶盒恶意软件应急处置手册 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-07-17 01:19:37上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。